Документ представляет собой программу семинара по сертификации по стандарту PA-DSS, проведенного Анной Гольдштейн в Москве 25 марта 2010 года. Описаны этапы сертификации, включая предварительную оценку и требования к проверкам безопасности приложений. Также затрагиваются роли и обязанности экспертов по сертификации, а также процедуры анализа и тестирования соответствия стандартам PCI DSS.

1. Гольдштейн Анна, PA QSA
Заместитель директора департамента аудита
Порядок сертификации по
требованиям стандарта PA-DSS
“Стандарт PA-DSS: безопасность платежных
приложений”
Семинар компании «Информзащита»
г. Москва, 25 марта 2010 г., Holiday Inn Suschevsky

2. Этапы сертификации

3. Предварительная оценка
соответствия
• Предварительная оценка выполнения требований
• Выбор решений по устранению недостатков
• Анализ трудоемкости и взаимосвязи необходимых
работ
План достижения соответствия PA-DSS

4. Предварительная оценка.
Особенности
• Основные методы сбора информации
– Интервью
– Проверка документации
• Цель – сбор. Нет задачи опровергнуть или доказать
собранную информацию

5. Реализация плана. Роль QSA
• Консультации по PCI DSS и PA-DSS
• Проверка дорабатываемой/разрабатываемой
документации
• Контроль хода работ плана

6. Сертификационные проверки
• Подтверждение выполнения требований ИБ в рамках процессов
разработки и поддержки приложений
• Лабораторные проверки требований PCI DSS
– выполнение запрета хранения критичных данных
– правила хранения номеров карт
– порядок аутентификации и управления учетными записями
– протоколирование событий и др.
• Анализ совместимости с остальными требованиями стандарта PCI
DSS
– отсутствие конфликтов со средствами защиты
– возможность размещения в инфраструктуре с межсетевыми экранами и т. п.
• Лабораторное тестирование безопасности приложений
– уязвимости протоколов/интерфейсов
– web-уязвимости и др.

7. Сертификационные проверки.
Особенности
• Проверки начинаются «с чистого листа»
• Аудитор следует инструкциям руководства по
выполнению PCI DSS (Implementation Guide)
• Лабораторная среда контролируется аудитором
• Проверки повторяются для каждой сертифицируемой
платформы приложения (ОС, СУБД)

8. Утверждение результатов PCI SSC
QSA:
Отчет
QSA:
Отчет
Вендор:
Release
agreement
Вендор:
Release
agreement
PCI SSC:
Acceptance
Letter
PCI SSC:
Acceptance
Letter
PCI SSC:
Invoice Letter
PCI SSC:
Invoice Letter
QSA:
Сертификат
QSA:
Сертификат
PCI SSC:
Публикация на
сайте
PCI SSC:
Публикация на
сайте
Вендор:
Оплата
публикации
Вендор:
Оплата
публикации
PCI SSC:
Контроль
качества
PCI SSC:
Контроль
качества

9. Поддержка сертификации
Есть план по выпуску релизов ?
• «ДА»:
– Анализ планируемых изменений
– Оценка бюджета на поддержку
• «НЕТ»:
– Договор годовой поддержки включает “minor”-изменения
– “major”-изменения выполняются по доп. соглашению

10. • (495) 980 23 45
• goldanna@infosec.ru
Гольдштейн Анна
Заместитель директора департамента
аудита
ВОПРОСЫ ?
“Стандарт PA-DSS: безопасность
платежных приложений”
Семинар компании «Информзащита»
г. Москва, 25 марта 2010 г., Holiday Inn Suschevsky